Laut dem Vietnam Cyber ​​Emergency Response Center – VNCERT/CC unter der Abteilung für Informationssicherheit (Ministerium für Information und Kommunikation) ist Eldorado eine neue Art von Ransomware als Service – RaaS, die im März erschien und mit Varianten für den virtuellen Manager VMware ESXi und das Windows-Betriebssystem geliefert wird.

Group-IB hat die Aktivitäten von Eldorado überwacht und festgestellt, dass die Betreiber dieser Ransomware-Gruppe den Schaddienst im RAMP-Forum beworben haben, um nach erfahrenen Mitgliedern für die Teilnahme an Cyberangriffskampagnen zu suchen.

VNCERT/CC fügte hinzu, dass die Eldorado-Malware in der Programmiersprache Go geschrieben ist und in der Lage ist, sowohl Windows- als auch Linux-Betriebssysteme über zwei separate Varianten mit weitgehenden operativen Ähnlichkeiten zu verschlüsseln.

Die Untersuchungen von Group-IB zeigen außerdem, dass die Malware den ChaCha20-Algorithmus zur Verschlüsselung verwendet. Nach der Verschlüsselungsphase wird den Dateien die Erweiterung „.00000001“ angehängt und eine Lösegeldforderung mit dem Namen „HOW_RETURN_YOUR_DATA.TXT“ in den Ordnern „Dokumente“ und „Desktop“ abgelegt.

Eldorado verschlüsselt außerdem Netzwerkfreigaben mithilfe des SMB-Kommunikationsprotokolls, um seine Wirkung zu maximieren, und löscht Schattenkopien von Laufwerken auf kompromittierten Windows-Computern, um eine Wiederherstellung zu verhindern. Darüber hinaus ist die Malware standardmäßig auf Selbstlöschung eingestellt, um eine Erkennung und Analyse durch das Reaktionsteam zu vermeiden.

Zum Gefährlichkeitsgrad von Eldorado erklärte VNCERT/CC: Diese Schadsoftware ist in der Lage, Dateien sowohl auf Windows- als auch auf VMware ESXi-Systemen zu verschlüsseln und so den Betrieb von Servern und Workstations zu stören. Dies könnte dazu führen, dass der Zugriff auf kritische Daten und Dienste nicht mehr möglich ist und der Geschäftsbetrieb dadurch gestört wird. „Eldorado zielt auf VMware ESXi ab und kann virtuelle Maschinen herunterfahren und verschlüsseln, wodurch der Betrieb der gesamten Virtualisierungsinfrastruktur gestört wird“, fügte ein Vertreter von VNCERT/CC hinzu.

Tatsächlich erfreuen sich der virtuelle Manager VMware ESXi und das Windows-Betriebssystem in Vietnam großer Beliebtheit. Um die Informationssicherheit für das Informationssystem der Einheit zu gewährleisten und so zur Sicherheit des vietnamesischen Cyberspace beizutragen, empfiehlt VNCERT/CC daher eine Reihe von Schritten, die die Administratoren umsetzen müssen.

Insbesondere müssen Administratoren von Informationssystemen von Behörden, Organisationen und Unternehmen, die VMware ESXi und Windows verwenden, eine Multi-Faktor-Authentifizierung sowie zugriffsbasierte Lösungen auf Anmeldeinformationen bereitstellen. Verwenden Sie die Sicherheitsüberwachung des EDR-Systems, um Anzeichen von Ransomware schnell zu erkennen und darauf zu reagieren. Sichern Sie Ihre Daten regelmäßig, um Schäden und Datenverluste zu minimieren.

Darüber hinaus wird Administratoren empfohlen, KI-basierte Analyselösungen und fortschrittliche Malware-Erkennungstechnologie zu verwenden, um Eindringlinge in Echtzeit zu erkennen und darauf zu reagieren. Konzentrieren Sie sich auf die regelmäßige Aktualisierung von Sicherheitspatches, um Systemschwachstellen zu beheben.

Behörden, Organisationen und Unternehmen sollten nicht nur auf Propaganda achten und ihre Mitarbeiter darin schulen, wie sie Cybersicherheitsbedrohungen erkennen und melden können, sondern auch jährliche technische Audits oder Sicherheitsbewertungen durchführen.